Нашел, думаю, не плохую прогу Bastille, скачал, установил, но не знаю как правильно настроить:
1. Все на английском
2. не совсем понятно: на какую кнопку нажимать и что выберется
3. Пройдя все этапы выбора настройки до конца, но не сохранив (по предложению выбора что сделать), исчезли полностью (аннулировались) настройки iptables...
С английским справился Промт
Спойлер
v3.0.9
Пожалуйста, ответьте на все вопросы, чтобы создать больше защищенную систему.
Кнопки OK и Back (назад) перемещаются вперед и назад в базе данных вопросов. Изменения, произведенные в поле Answer (ответа), являются *only* (только) сохраненным, когда Вы нажимаете Кнопку ОК! "Модули" в базе данных вопросов перечисляются слева. Можно перейти к запуску любого модуля просто, щелкая по его имени.
Когда требуется сохранить свои изменения конфигурации переходим в модуль 'End Screen' и отвечаем 'yes-да'. Вас тогда спросят, требуется ли сохранить произведенные изменения.
У некоторых вопросов есть два уровня объяснительного текста, который можно скорректировать с кнопкой Explain Less/More (Объясните Меньше/Больше).
Пожалуйста, адресуйте отчеты об ошибках и предложения к jay@bastille-unix.org
Ошибки в пользовательском интерфейсе Tk являются отказом allenp@nwlink.com.
Вообще, полномочия файла по-умолчанию, установленные большинством поставщиков, довольно безопасны. Чтобы сделать их более безопасными, тем не менее, можно удалить non-root (некорневой) пользовательский доступ к некоторым функциям администратора.
Если Вы выберете эту опцию, то Вы измените полномочия на некоторых утилитах администрирования общей системы так, чтобы они не были читаемы или исполнимы пользователями кроме root-а. Эти утилиты (которые включают linuxconf, fsck, ifconfig, runlevel и portmap) являются те, к которым у большинства пользователей никогда не должно быть потребности получить доступ. Эта опция увеличит Вашу безопасность системы, но возможно, это причинит безпокойство Вашим пользователям.
Следующие вопросы все принадлежат отключению "SUID root" (root-разрешения SUID) для определенных программ. Это разрешение позволяет non-root пользователям выполнять эти программы, увеличивая удобство, но уменьшая безопасность. Если слабость безопасности или уязвимость находятся в этих программах, это может быть использовано, чтобы получить доступ на root-уровне к Вашему компьютеру через любую учетную запись пользователя.
Если Вы отвечаете "Да" и позже понимаете, что действительно нуждаетесь в полномочиях SUID на определенной программе, вы всегда можете включить его снова спустя: chmod u+s <имя файла>.
Mount и umount используются для того, чтобы смонтировать (активировать) и размонтировать (деактивировать) диски, которые не были автоматически смонтированы во время начальной загрузки. Это может включать дискету и дисководы для компакт-дисков. Отключение SUID все еще позволило бы любому с паролем root-а смонтировать и размонтировать диски
Ping используется для того, чтобы протестировать сетевую связь. Определено это для того, чтобы протестировать возможность сети получить пакет от этой машины до другой и обратно. Программа ping является SUID, так как только root-пользователь может открыть неструктурированный сокет. Поскольку, однако, это часто используется только человеком, ответственным за сети узла, у которого обычно есть root-доступ, мы рекомендуем отключить состояние SUID для этого.
traceroute утилита используется, чтобы протестировать сетевую связь. Это полезно для отладки сетевых проблем, но это обычно не необходимо специально для не превилегированных пользователей. Если непривилегированным пользователем понадобится для отладки сетевых соединений, вы можете оставить SUID бит на трассировку. Иначе, следует отключить это.
R-tools инструменты BSD полагаются на основанную на IP аутентификацию, это означает, что можно позволить, любому с (например) root-доступом на 192.168.1.1 такие права на 192.168.1.2. Администраторы и другие пользователи традиционно сочли это полезным, поскольку это позволяет им подключаться с одного узла на другой без необходимости повторного ввода пароля. Файл .rhosts содержит имена учетных записей и машин, которым, как полагают, доверяют.
Проблема с основанной на IP аутентификацией, однако, состоит в том, что злоумышленник может обработать "имитировавшие" или фальсифицируемые пакеты, которые утверждают, что были от доверяемого пользователя на доверяемой машине. Так как r-tools полагаются полностью на IP-адреса (и удаленного имя пользователя) для аутентификации имитировавший пакет будет принят как вещественное число.
Некоторые из Ваших пользователей, или даже возможно других администраторов для этой машины, не могли бы знать о проблемах безопасности с r-инструментами BSD. Если это верно, они могли бы создать .rhosts файлы, которые потенциально предоставят доступ взломщиков к машине. Эта опция отключит использование тех r-инструментов и от Вашей машины и как средство журналирования в Вашу машину.
Поведение Вашей операционной системы по-умолчанию, которое мы изменили бы здесь, должно отключить учетную запись, когда пароль не изменился через 99 999 дней. Этот интервал является слишком длинным, чтобы быть полезным. Мы можем установить значение по-умолчанию в 60 дней. В некоторый момент прежде, чем эти 60 дней передали, система попросит, чтобы пользователь изменил его или её пароль. В конце этих 60 дней, если пароль не был изменен, учетная запись будет временно недоступна. Мы удостоверимся, что этот период предупреждения по крайней мере 5 дней длиной. Мы произвели бы это изменение в /etc/login.defs.
umask устанавливает разрешение по-умолчанию для файлов, которые Вы создаете. Bastille может установить одни из нескольких umasks в конфигурационных файлах входа в систему по-умолчанию. Эти стандартные оболочки охватывают подобно csh и большинство разновидностей оболочек Bourne Shell, sh, и ksh. Если Вы собираетесь установить другие оболочки, Вам, вероятно, придется сконфигурировать их самостоятельно. Единственная причина не установливать, по крайней мере, минимальное значение по-умолчанию umask состоит в том, если Вы уверены, что уже установили то.
umask устанавливает разрешение по-умолчанию для файлов, которые Вы создаете. Bastille может установить одни из нескольких umasks. Пожалуйста, выберите один из следующих или создайте Ваше собственное:
002 - Все могут считывать Ваши файлы, и люди в Вашей группе могут изменить их.
022 - Все могут считывать Ваши файлы, но никто не может записать в них.
027 - Только люди в Вашей группе могут считывать Ваши файлы, никто не может записать в них.
077 - Никто на системе не может считывать или записать Ваши файлы.
В дополнение к конфигурированию umask для всех пользовательских оболочек, HP-UX 11.22 и позже имеет опцию в /etc/default/security файле, чтобы установить систему по-умолчанию umask. Этот параметр управляет umask (2) из всех сеансов, инициируемых через pam_unix (5) (который может тогда быть переопределен оболочкой).
ЗАМЕТЬТЕ: Если Ваша система будет преобразована в доверяемый режим, то этот параметр будет переопределен значением по-умолчанию достоверной системы umask, который является 077.
027
Можно ограничить root-а tty's, на котором может войти в систему. Некоторые сайты хотят ограничивать входы root-а в систему, так, чтобы администратор вошел в систему с обычной учетной записью пользователя и затем использовать su, чтобы стать root-ом.
Это может остановить атакующего, который смог бы лишь только украсть пароль root-а от входа в систему. Он должен украсть пароль второй учетной записи, чтобы использовать пароль root-а через tty's.
Любой, кто может физически взаимодействовать с Вашей системой, может сказать загрузчику переводить Вашу машину в рабочее состояние в "однопользовательском режиме", где ему или ей дают полномочия пользователя root, и все остальные блокируются из системы. Это не требует пароля на большинстве систем Unix. Метод не соглашается с используемым загрузчиком, таким образом на каждой версии операционной системы и архитектуре. Можно протестировать эту атаку на систему Linux, которая использует LILO, вводя "linux single" в LILO: prompt (подсказка).
Bastille может паролем защитить bootprompt для Вас. Вы не должны будете помнить другой пароль - однопользовательский режим, или "root" режим, потребуется пароль root-а.
Мы Настоятельно рекомендуем, чтобы Вы паролем защитили однопользовательский режим.
Не рекомендуемый для большинства пользователей:
Много сетевых служб могут быть сконфигурированы, чтобы ограничить доступ к определенным сетевым адресам (и в случае 'xinetd' служб в Linu-Mandrake x 8.0 и Red Hat 7.x, другие критерии также). Для служб, работающих под более старым 'inetd' суперсервером (найденный в более старых версиях Linux-Mandrake и Red Hat, и текущих версий некоторых других дистрибутивов), некоторых автономных служб как OpenSSH, и - если иначе не конфигурирующийся - службы, работающие под xinetd суперсервером Red Hat, можно сконфигурировать ограничения, основанные на сетевом адресе в /etc/hosts.allow. Службы, используя inetd или xinetd обычно включают telnet, ftp, pop, imap, finger, и много других служб.
Если Вы хотите, Bastille может сконфигурировать политику по-умолчанию для всего inetd, xinetd, и TCP Wrappers-aware службы, чтобы отвергать все попытки подключения. В то время как Вы, возможно, уже хотели устанавливать брандмауэр Bastille's, устанавливая значение по-умолчанию отрицает, что политика для этих служб дает больше защиты подробно.
Это также сконфигурирует xinetd так, чтобы установленные в настоящий момент xinetd службы использовали более гибкое управление доступом xinetd и *not* /etc/hosts.allow. Все другие основанные на обертках (Wrappers-aware) программы, как sshd, повинуются, значение по-умолчанию - отрицают.
Как специальное исключение, Bastille в настоящий момент позволяет sshd на значение по-умолчанию - позволяют основание. Если Вам жаль, что это не блокировало также, пожалуйста, измените его строку вручную в hosts.allow.
Telnet не безопасен.
Telnet поставляется на большинстве операционных систем для обратной совместимости, и это не должно использоваться в ненадежной сети.
Telnet является протоколом открытого текста, означая, что любые переданные данные, включая пароли, могут контролироваться кем-либо еще в Вашей сети (даже если Вы используете переключающийся маршрутизатор, поскольку переключатели были разработаны для производительности, а для не безопасности и могут быть сделаны широковещательно передавать). Другие сети могут контролировать эту информацию также, если сеанс telnet пересекает многократные LAN.
Есть также другие более активные атаки. Например, любой, кто может подслушать, может обычно принимать Ваш сеанс telnet, используя инструмент как Hunt или Ettercap.
Общепринятая практика среди сознательных безопасность сайтов должна перейти так быстро как практичный от telnet, чтобы Защитить Shell (команда: ssh). Мы советовали бы Вам делать это перемещение как можно скорее. Безопасные реализации оболочки доступны от openssh.org и ssh.com. Большинство поставщиков Операционной системы также распределяет версию безопасной оболочки, так согласуйте со своим поставщиком сначала, чтобы видеть, есть ли версия, которая была протестирована с Вашей ОС.
ЗАМЕТЬТЕ: Деактивация telnetd службы не будет влиять на Ваш клиент telnet.
FTP (Протокол передачи файлов) является другим проблематичным протоколом. Во-первых, это - протокол открытого текста, как telnet - это позволяет атакующему подслушивать сессии и красть пароли. Это также позволяет атакующему принимать сеанс FTP, используя инструмент поглощения открытого текста как Hunt или Ettercap. Во-вторых, это может сделать эффективным firewalling трудным из-за способа, которым FTP требует, чтобы много портов остались открытыми. В-третьих, у каждого главного демона FTP была долгая история уязвимости системы обеспечения безопасности - они представляют один из главных успешных векторов атаки для удаленных root атак.
FTP может быть заменен scp Secure Shell (безопасной оболочкой) и sftp программами.
ЗАМЕТЬТЕ: Ответ "да" к этому вопросу также предотвратит использование этой машины как анонимный сервер протокола передачи файлов.
В этой точке можно создать banner-сообщения для Вашего сайта "Только Авторизованное Использование" (Authorized Use Only). Они могут быть очень полезными в преследовании к суду системных взломщиков, можно поймать попытку ворваться в Вашу систему. Bastille может сделать сообщения по-умолчанию, которые можно тогда позже отредактировать. Это - вид подобных "антиприветственная заставка" для Вашего компьютера.
По-умолчанию баннер "Только Авторизованное Использование" будет создан для Вход в систему/telnet/протокол передачи файлов (login/telnet/ftp) и будет найден в /etc/issue. Следует изменить этот баннер, чтобы применялось более определенно к Вашей организации (например, добавляя любую специфичную для сайта информацию к предупреждениям по-умолчанию). Если это - корпоративный сайт, согласуйте со своим корпоративным адвокатом, чтобы определить самое соответствующее предупреждение для баннера. Эти баннеры, согласно бюллетеню CIAC (http://ciac.llnl.gov/ciac/bulletins/j-043.shtml) может сделать намного легче преследование по суду злоумышленников. Включением этого баннера по-умолчанию ни группа разработчиков Bastille, ни Hewlett-Packard Company не берут на себя ответственности за Вашу возможность преследовать по суду системных взломщиков. Пожалуйста, особенно если Вы выполняете корпоративный сайт, рассматриваете/заменяете это с более определенным языком.
Bastille начнет делать баннер более определенным, говоря пользователю, который ответственен за эту машину. Это утвердит явно, от кого пользователь должен получить авторизацию использовать эту машину. Пожалуйста, введите от имени компании, человека, или другой организации, которая имеет или ответственна за эту машину.
его владелец
Атакам "отказ в обслуживании" очень часто трудно воспротивиться, так как они не требуют доступа любого вида к целевой машине. Начиная с нескольких главных демонов, включая сеть, имя, и серверы FTP, могут работать как определенный пользователь, можно ограничить эффективность многих Атак "отказа в обслуживании", изменяя /etc/security/limits.conf. Если Вы ограничиваете ресурсы, доступные этим способом, можно эффективно нанести вред большинству Атак "отказа в обслуживании".
Если Вы выберете эту опцию, то Вы будете устанавливать следующие начальные пределы для использования ресурсов:
- Число позволенных базовых файлов будет обнулено. Базовые файлы могут быть полезными для диагностирования системных проблем, но они - очень большие файлы и могут быть использованы атакующим, чтобы заполнить Вашу файловую систему. Они могут также использоваться, чтобы настроить инструменты эксплуатации уязвимости. Наконец, атакующий мог бы использовать базовый файл из разрушенной программы, чтобы получить привилегированные данные, которые были выведены программой.
- Отдельные пользователи ограничиваются 150 процессами каждый. Это должно быть более чем достаточно для нормального системного использования, и недостаточно, чтобы перевести Вашу машину в нерабочее состояние. (Linux только)
Все эти значения могут быть отредактированы позже.
При некоторых дистрибутивах у пользователей, зарегистрированных в консоли, есть некоторые специальные права доступа (как возможность смонтировать дисковод для компакт-дисков). Можно отключить этот специальный доступ полностью, но более гибкая опция должна ограничить консольный доступ к небольшой группе учетных записей доверяемого пользователя.
Мы хотели бы сконфигурировать дополнительное журналирование для Вашей системы. Мы дадим Вам опцию, чтобы зарегистрировать к удаленному узлу, если тот у Вашего сайта уже будет. Мы добавим два дополнительных файла журналирования к установке по-умолчанию и также зарегистрируем некоторые сообщения о состоянии к 7-ым и 8-ым виртуальным терминалам (те, Вы будете видеть, когда Вы поразите ALT+F7 и ALT+F8). Это дополнительное журналирование не будет изменять существующие файлы журнала вообще, таким образом, это ни в коем случае не будет "опасным" перемещением.
Этот сценарий добавляет дополнительные файлы журналирования:
/var/log/kernel -- kernel messages /var/log/syslog -- messages of severity "warning" and "error"
/var/log/kernel - ядро передает/var/log/syslog - сообщения серьезности "предупреждение" и "ошибка"
Кроме того, если Вы проверите 7-ой и 8-ой TTY's, поражая ALT+F7 или ALT+F8, то Вы найдете, что мы теперь регистрируем к виртуальному TTY's также. Если Вы пробуете это, помните, что можно использовать ALT+F1, чтобы возвратиться к первому виртуальному TTY
Если у Вас уже есть удаленный узел журналирования, мы можем установить эту машину, чтобы зарегистрировать к нему
У Linux есть возможность зарегистрировать, какие команды выполняются когда и кем. Это чрезвычайно полезно в попытке восстановить то, что фактически выполнял потенциальный взломщик. Недостатки - то, что журналы становятся быстро большими (журнал вращаются, модуль включается, чтобы компенсировать это), параметры к командам не записываются, и, как все файлы журнала, считывающий журнал является съемным, если злоумышленник имеет root.
Поскольку это - скорее диск и интенсивный ЦП CPU, пожалуйста, выберите НЕ, если Вы тщательно не рассмотрели эту опцию.
Чтобы сделать операционную систему более безопасной, мы пытаемся деактивировать всех системных демонов, особенно те, которые работают на высоком/неограниченном уровне полномочия. Каждый активный системный демон служит потенциальной точкой взлома и может предоставить доступ злоумышленнику к Вашей системе. Атакующий может использовать этих системных демонов, чтобы получить доступ, если у них, как позже находят, есть ошибка или уязвимость системы обеспечения безопасности.
Мы практикуем минималистский принцип здесь: минимизируйте количество привилегированных системных демонов, и вы можете уменьшить ваши шансы стать жертвой одного из стандартных демонов, как должно быть, чем позже иметь уязвимость. Этот раздел потребует внимательного отношения, но если у Вас есть сомнения, следует быть в состоянии безопасно выбрать значение по-умолчанию в большинстве случаев.
apmd и acpid используются, чтобы контролировать питание от батареи и используются почти исключительно ноутбуком/ноутбуками
Мы хотели бы отключить NFS сетевых файловых систем (Сетевая файловая система, характерна для большинства разновидностей Unix) и SMB (Samba, который идет с большинством дистрибутивов Linux). Мы строго рекомендуем, чтобы Вы отключили оба из них. У NFS есть история главных уязвимостей системы обеспечения безопасности; Samba немного лучше, но это - все еще совместно используемая файловая система и все еще повышает потенциально серьезные проблемы безопасности. Обе службы используют открытый текст, означая, что любые переданные данные могут контролироваться кем-либо еще в Вашей сети (даже если Вы используете переключающийся маршрутизатор, поскольку переключатели были разработаны для производительности, не безопасности). Переданные данные включают дескрипторы файлов, которые могут тогда использоваться, чтобы изменить файлы.
Эти службы более безопасны, если можно установить свой брандмауэр, чтобы блокировать пакеты или для них от ввода или для отъезда Вашей сети, но, вероятно, лучше деактивировать их, пока невозможно заняться расследованиями, нуждаетесь ли Вы в них и как лучше всего защитить их.
У Вас не должно быть sendmail, работающего в режиме демона, чтобы отправить и получить электронное письмо, и если у Вас есть постоянное сетевое соединение, вероятно, невозможно выполнить sendmail в режиме демона. Режим демона означает, что sendmail постоянно слушает на сетевом соединении, ожидающем, чтобы получить почту.
Если Вы отключите режим демона, то Bastille спросит Вас, если требуется выполнить sendmail каждые несколько минут, чтобы обработать очередь исходящей почты. Большинство программ, которые отправляют почту, все еще сделает так сразу, и обработка очереди будет заботиться о случайных ошибках.
Если Вы получаете все свои электронные письма через почтовый ящик POP/IMAP, обеспеченный Вашим ISP, у Вас не может быть никакой потребности режима демона sendmail, если Вы не выполняете специальный POP/IMAP fetchmail-стиля базируемая программа извлечения. Например, можно выключить режим демона, если Вы читаете свою почту через общую функциональность чтения POP/IMAP Netscape. Единственная причина выполнить sendmail в режиме демона состоит в том, если Вы выполняете почтовый сервер.
Вы будете использовать веб-сервер Apache сразу? Снова, минимализм является критической частью хорошей безопасности сайта. Если Вы не будете запускать веб-сервер, по крайней мере прямо сейчас, следует деактивировать его. Можно перезапустить веб-сервер позже, вводя: /sbin/chkconfig httpd on
Даже при том, что Вы деактивировали веб-сервер Apache, есть все еще еще несколько вопросов, связанных с ним. Хорошо взять предосторожности в следующих шагах, даже если Вы выключили веб-сервер, так как это может быть включено снова позже.
Есть несколько других изменений, что мы рекомендуем, чтобы Вы сделали к конфигурации веб-сервера. В веб-сервере Apache есть очень немного внутренних дефектов безопасности, но есть два важных:
Как со всеми веб-серверами, это обычно обязано отправлять и получать информацию к и от любого в Интернете.
Во многих средах люди, настраивающие сервер, как вести себя, не являются хорошо осведомленными системными администраторами торговлей. Прежде, чем Вы обезцените этот факт, приимете во внимание широкое быстрое увеличение конфигураций, под которыми любой пользователь на системе может дать серверу команду выполнять произвольный код для любого, кто приходит в сайт через сценарии CGI.
Если эта машина не собирается печатать, следует остановить планировщика печати и ограничить полномочия на всех утилитах печати. На Linux Вы можете вернуть это позже, вводя:
#/bin/chmod 06555/usr/bin/lpr/usr/bin/lprm
#/sbin/chkconfig lpd on
Это рекомендуется только, если эта машина не будет использоваться для того, чтобы печатать в ближайшем будущем. Если Вы деактивировали это, Вы сможете записать команды в случае выше, если Вы решите повторно позволить печатать позже.
Если эта машина не собирается печатать, следует остановить планировщика печати и ограничить полномочия на всех утилитах печати. На Linux Вы можете вернуть это позже, вводя:
#/bin/chmod 0755/usr/bin/lpr/usr/bin/lprm/usr/bin/lpstat #/bin/chmod 04755/usr/bin/lppasswd
#/sbin/chkconfig cups on
Это рекомендуется только, если эта машина не будет использоваться для того, чтобы печатать в ближайшем будущем. Если Вы деактивировали это, Вы можете записать команды в случае выше, если Вы решите повторно позволить печатать позже.
FTP, как широко полагают, довольно опасен, но даже сознательная безопасность сайтов могли бы все еще выполнить его из-за воспринятой трудности в обучении пользователей об альтернативах. Доступные альтернативы включают:
- защитить копию, которая шифрует имена, пароли и трафик - сетевые архивы файла, намного более безопасный способ предложить файлы общественности
Нехватка широко распространенных, свободных, безопасных клиентов копии на базе Windows только усиливает проблему. FTP опасен по нескольким причинам, включая:
1) Все пароли перемещаются в четком через соединение, позволяя любые промежуточные узлы (и обычно каждый узел на источнике и локальной сети места назначения) "sniff-вдохнуть" незашифрованные пароли.
2) Демоны протокола передачи файлов обычно должны работать с полномочиями пользователя root, и у большинства общих, как находили, было множество уязвимостей системы обеспечения безопасности в течение их существования. Например, у демона протокола передачи файлов, включенного с RedHat 6.0, было два главных обновления, чтобы закрыть дыры в системе безопасности, так как RH6.0 был выпущен. Ранее в этом сеансе, мы обновили Ваш wu-ftp (wu-протокол-передачи-файлов) к новому, который рекламирует Redhat
Многие программы используют /tmp каталог способами, которые опасны на многопользовательских системах. Многие из тех программ будут использовать альтернативный каталог, если Вы будете определены с TMPDIR или переменными окружения TMP. Мы можем установить сценарии, которые будут выполнены, когда пользователи войдут в систему, которые безопасно создают подходящие временные каталоги и устанавливают TMPDIR и переменные окружения TMP. Это зависит от Вашей системы, поддерживающей /etc/profile.d сценарии
Используя пакетный сценарий фильтрации, Вы будете в состоянии сделать пакетную фильтрацию/модификацию через ядро Linux. Можно использовать это, чтобы блокировать определенные типы соединений с или от Вашей машины, превратить Вашу машину в маленький брандмауэр, и сделать Network Address Translation Сетевое Преобразование адресов (также известный как "подмена IP"), который позволяет нескольким машинам совместно использовать единственный IP-адрес.
Если Вы установите пакетный сценарий фильтрации, то он создаст firewalling инструкции для Вас. Вы будете запрошены сделать различный выбор (с предложенными значениями по-умолчанию), но Вы, возможно, должны отредактировать это для своего определенного сайта и должны будете индивидуально активировать это.
Этот сценарий поддерживает и ядро 2.2 (ipchains) и 2.4 (iptables при наличии, иначе ipchains)
Завершение части конфигурации Bastille не будет применять изменения к Вашей системе. Вас спросят, требуется ли сохранить изменения конфигурации, которые Вы сделали, которые не будет влиять на Вашу систему всегда кроме выписать файл конфигурации Bastille.
Вас тогда спросят, требуется ли применить конфигурацию к своей системе. Ни в каком смысле Вы не будете вынужденны заставить конфигурацию примениться к Вашей системе.
Если вы выберете применить конфигурацию к своей системе, тогда Bastille произведет изменения в Вашей системе и создаст Список ожидающих выполнения задач в /var/log/Bastille/TODO остающихся шагов, которые следует сделать, чтобы защитить Вашу систему, основанную на Ваших ответах на вопросы.
После того, как Вы выполнили бэкэнд Bastille, следует рассмотреть список и произвести необходимые изменения в Вашей системе. Следует также смотреть на Журнал ошибок, создаваемый в /var/log/Bastille/error-log, чтобы удостовериться, что Bastille неожиданно не перестала работать ни в одной из ее задач.
Ответ Нет, если Вы хотите возвратиться и произвести изменения в конфигурации.
Bastille предоставляет возможность конфигурировать psad (Детектор Атаки Сканирования портов), который анализирует информацию, собранную в журналах брандмауэра, чтобы определить, сканирует ли кто-то Вашу машину. Функции Psad, которые ряд гибких порогов (с заметными обеспеченными значениями по-умолчанию), которые используются, чтобы определить то, что составляет сканирование портов, обнаружение для усовершенствованных сканирований портов (syn, плавник, Рождество), которые легко усиливаются против машины через nmap, предупреждения по электронной почте, которые содержат источник и целевые IP-адреса, диапазон отсканированных портов, начинает и конец света, tcp набор флагов в пакетах сканирования, инвертируют dns и whois информацию, предупреждение DShield, пассивное снятие отпечатков пальцев ОС, автоблокирование сканирования IP-адресов (отключенный по-умолчанию), и больше. Кроме того, psad включает многие из tcp, udp, и правила icmp, включенные в систему обнаружения проникновения фырканья, чтобы обнаружить зонды для программ DDoS и задней двери.
*** psad должен быть установлен прежде, чем Bastille может сконфигурировать его, но если Вы ответите на следующие вопросы, у Вас может быть Bastille применит Вашу конфигурацию после установки psad. latest версия psad может быть загружена с http://www.cipherdyne.org/psad/
ЗАМЕТЬТЕ: Для psad, чтобы быть эффективным, требуется, чтобы брандмауэр был активный.
Завершение части конфигурации Bastille не будет применять изменения к Вашей системе. Вам будет предложено, требуется ли сохранить изменения конфигурации, которые Вы сделали, которые не будут влиять на работу системы любым способом, кроме записанным файлом конфигурации Bastille.
Вас тогда спросят, требуется ли применить конфигурацию к своей системе. Ни в каком смысле не будет Вас вынуждать конфигурацию применить к Вашей системе.
Если вы выберете применить конфигурацию к своей системе тогда, Bastille произведет изменения в Вашей системе и создаст Список ожидающих выполнения задач в/var/log/Bastille/TODO остающихся шагов, которые следует сделать, чтобы защитить Вашу систему, основанную на Ваших ответах на вопросы.
После того, как Вы выполнили бэкэнд Bastille, следует рассмотреть список и произвести необходимые изменения в Вашей системе. Следует также смотреть на Журнал ошибок, создаваемый в /var/log/Bastille/error-log, чтобы удостовериться, что Bastille неожиданно не перестала работать ни в одной из ее задач.
Ответ Нет, если Вы хотите возвратиться и произвести изменения в конфигурации!
Пожалуйста, ответьте на все вопросы, чтобы создать больше защищенную систему.
Кнопки OK и Back (назад) перемещаются вперед и назад в базе данных вопросов. Изменения, произведенные в поле Answer (ответа), являются *only* (только) сохраненным, когда Вы нажимаете Кнопку ОК! "Модули" в базе данных вопросов перечисляются слева. Можно перейти к запуску любого модуля просто, щелкая по его имени.
Когда требуется сохранить свои изменения конфигурации переходим в модуль 'End Screen' и отвечаем 'yes-да'. Вас тогда спросят, требуется ли сохранить произведенные изменения.
У некоторых вопросов есть два уровня объяснительного текста, который можно скорректировать с кнопкой Explain Less/More (Объясните Меньше/Больше).
Пожалуйста, адресуйте отчеты об ошибках и предложения к jay@bastille-unix.org
Ошибки в пользовательском интерфейсе Tk являются отказом allenp@nwlink.com.
Вообще, полномочия файла по-умолчанию, установленные большинством поставщиков, довольно безопасны. Чтобы сделать их более безопасными, тем не менее, можно удалить non-root (некорневой) пользовательский доступ к некоторым функциям администратора.
Если Вы выберете эту опцию, то Вы измените полномочия на некоторых утилитах администрирования общей системы так, чтобы они не были читаемы или исполнимы пользователями кроме root-а. Эти утилиты (которые включают linuxconf, fsck, ifconfig, runlevel и portmap) являются те, к которым у большинства пользователей никогда не должно быть потребности получить доступ. Эта опция увеличит Вашу безопасность системы, но возможно, это причинит безпокойство Вашим пользователям.
Следующие вопросы все принадлежат отключению "SUID root" (root-разрешения SUID) для определенных программ. Это разрешение позволяет non-root пользователям выполнять эти программы, увеличивая удобство, но уменьшая безопасность. Если слабость безопасности или уязвимость находятся в этих программах, это может быть использовано, чтобы получить доступ на root-уровне к Вашему компьютеру через любую учетную запись пользователя.
Если Вы отвечаете "Да" и позже понимаете, что действительно нуждаетесь в полномочиях SUID на определенной программе, вы всегда можете включить его снова спустя: chmod u+s <имя файла>.
Mount и umount используются для того, чтобы смонтировать (активировать) и размонтировать (деактивировать) диски, которые не были автоматически смонтированы во время начальной загрузки. Это может включать дискету и дисководы для компакт-дисков. Отключение SUID все еще позволило бы любому с паролем root-а смонтировать и размонтировать диски
Ping используется для того, чтобы протестировать сетевую связь. Определено это для того, чтобы протестировать возможность сети получить пакет от этой машины до другой и обратно. Программа ping является SUID, так как только root-пользователь может открыть неструктурированный сокет. Поскольку, однако, это часто используется только человеком, ответственным за сети узла, у которого обычно есть root-доступ, мы рекомендуем отключить состояние SUID для этого.
traceroute утилита используется, чтобы протестировать сетевую связь. Это полезно для отладки сетевых проблем, но это обычно не необходимо специально для не превилегированных пользователей. Если непривилегированным пользователем понадобится для отладки сетевых соединений, вы можете оставить SUID бит на трассировку. Иначе, следует отключить это.
R-tools инструменты BSD полагаются на основанную на IP аутентификацию, это означает, что можно позволить, любому с (например) root-доступом на 192.168.1.1 такие права на 192.168.1.2. Администраторы и другие пользователи традиционно сочли это полезным, поскольку это позволяет им подключаться с одного узла на другой без необходимости повторного ввода пароля. Файл .rhosts содержит имена учетных записей и машин, которым, как полагают, доверяют.
Проблема с основанной на IP аутентификацией, однако, состоит в том, что злоумышленник может обработать "имитировавшие" или фальсифицируемые пакеты, которые утверждают, что были от доверяемого пользователя на доверяемой машине. Так как r-tools полагаются полностью на IP-адреса (и удаленного имя пользователя) для аутентификации имитировавший пакет будет принят как вещественное число.
Некоторые из Ваших пользователей, или даже возможно других администраторов для этой машины, не могли бы знать о проблемах безопасности с r-инструментами BSD. Если это верно, они могли бы создать .rhosts файлы, которые потенциально предоставят доступ взломщиков к машине. Эта опция отключит использование тех r-инструментов и от Вашей машины и как средство журналирования в Вашу машину.
Поведение Вашей операционной системы по-умолчанию, которое мы изменили бы здесь, должно отключить учетную запись, когда пароль не изменился через 99 999 дней. Этот интервал является слишком длинным, чтобы быть полезным. Мы можем установить значение по-умолчанию в 60 дней. В некоторый момент прежде, чем эти 60 дней передали, система попросит, чтобы пользователь изменил его или её пароль. В конце этих 60 дней, если пароль не был изменен, учетная запись будет временно недоступна. Мы удостоверимся, что этот период предупреждения по крайней мере 5 дней длиной. Мы произвели бы это изменение в /etc/login.defs.
umask устанавливает разрешение по-умолчанию для файлов, которые Вы создаете. Bastille может установить одни из нескольких umasks в конфигурационных файлах входа в систему по-умолчанию. Эти стандартные оболочки охватывают подобно csh и большинство разновидностей оболочек Bourne Shell, sh, и ksh. Если Вы собираетесь установить другие оболочки, Вам, вероятно, придется сконфигурировать их самостоятельно. Единственная причина не установливать, по крайней мере, минимальное значение по-умолчанию umask состоит в том, если Вы уверены, что уже установили то.
umask устанавливает разрешение по-умолчанию для файлов, которые Вы создаете. Bastille может установить одни из нескольких umasks. Пожалуйста, выберите один из следующих или создайте Ваше собственное:
002 - Все могут считывать Ваши файлы, и люди в Вашей группе могут изменить их.
022 - Все могут считывать Ваши файлы, но никто не может записать в них.
027 - Только люди в Вашей группе могут считывать Ваши файлы, никто не может записать в них.
077 - Никто на системе не может считывать или записать Ваши файлы.
В дополнение к конфигурированию umask для всех пользовательских оболочек, HP-UX 11.22 и позже имеет опцию в /etc/default/security файле, чтобы установить систему по-умолчанию umask. Этот параметр управляет umask (2) из всех сеансов, инициируемых через pam_unix (5) (который может тогда быть переопределен оболочкой).
ЗАМЕТЬТЕ: Если Ваша система будет преобразована в доверяемый режим, то этот параметр будет переопределен значением по-умолчанию достоверной системы umask, который является 077.
027
Можно ограничить root-а tty's, на котором может войти в систему. Некоторые сайты хотят ограничивать входы root-а в систему, так, чтобы администратор вошел в систему с обычной учетной записью пользователя и затем использовать su, чтобы стать root-ом.
Это может остановить атакующего, который смог бы лишь только украсть пароль root-а от входа в систему. Он должен украсть пароль второй учетной записи, чтобы использовать пароль root-а через tty's.
Любой, кто может физически взаимодействовать с Вашей системой, может сказать загрузчику переводить Вашу машину в рабочее состояние в "однопользовательском режиме", где ему или ей дают полномочия пользователя root, и все остальные блокируются из системы. Это не требует пароля на большинстве систем Unix. Метод не соглашается с используемым загрузчиком, таким образом на каждой версии операционной системы и архитектуре. Можно протестировать эту атаку на систему Linux, которая использует LILO, вводя "linux single" в LILO: prompt (подсказка).
Bastille может паролем защитить bootprompt для Вас. Вы не должны будете помнить другой пароль - однопользовательский режим, или "root" режим, потребуется пароль root-а.
Мы Настоятельно рекомендуем, чтобы Вы паролем защитили однопользовательский режим.
Не рекомендуемый для большинства пользователей:
Много сетевых служб могут быть сконфигурированы, чтобы ограничить доступ к определенным сетевым адресам (и в случае 'xinetd' служб в Linu-Mandrake x 8.0 и Red Hat 7.x, другие критерии также). Для служб, работающих под более старым 'inetd' суперсервером (найденный в более старых версиях Linux-Mandrake и Red Hat, и текущих версий некоторых других дистрибутивов), некоторых автономных служб как OpenSSH, и - если иначе не конфигурирующийся - службы, работающие под xinetd суперсервером Red Hat, можно сконфигурировать ограничения, основанные на сетевом адресе в /etc/hosts.allow. Службы, используя inetd или xinetd обычно включают telnet, ftp, pop, imap, finger, и много других служб.
Если Вы хотите, Bastille может сконфигурировать политику по-умолчанию для всего inetd, xinetd, и TCP Wrappers-aware службы, чтобы отвергать все попытки подключения. В то время как Вы, возможно, уже хотели устанавливать брандмауэр Bastille's, устанавливая значение по-умолчанию отрицает, что политика для этих служб дает больше защиты подробно.
Это также сконфигурирует xinetd так, чтобы установленные в настоящий момент xinetd службы использовали более гибкое управление доступом xinetd и *not* /etc/hosts.allow. Все другие основанные на обертках (Wrappers-aware) программы, как sshd, повинуются, значение по-умолчанию - отрицают.
Как специальное исключение, Bastille в настоящий момент позволяет sshd на значение по-умолчанию - позволяют основание. Если Вам жаль, что это не блокировало также, пожалуйста, измените его строку вручную в hosts.allow.
Telnet не безопасен.
Telnet поставляется на большинстве операционных систем для обратной совместимости, и это не должно использоваться в ненадежной сети.
Telnet является протоколом открытого текста, означая, что любые переданные данные, включая пароли, могут контролироваться кем-либо еще в Вашей сети (даже если Вы используете переключающийся маршрутизатор, поскольку переключатели были разработаны для производительности, а для не безопасности и могут быть сделаны широковещательно передавать). Другие сети могут контролировать эту информацию также, если сеанс telnet пересекает многократные LAN.
Есть также другие более активные атаки. Например, любой, кто может подслушать, может обычно принимать Ваш сеанс telnet, используя инструмент как Hunt или Ettercap.
Общепринятая практика среди сознательных безопасность сайтов должна перейти так быстро как практичный от telnet, чтобы Защитить Shell (команда: ssh). Мы советовали бы Вам делать это перемещение как можно скорее. Безопасные реализации оболочки доступны от openssh.org и ssh.com. Большинство поставщиков Операционной системы также распределяет версию безопасной оболочки, так согласуйте со своим поставщиком сначала, чтобы видеть, есть ли версия, которая была протестирована с Вашей ОС.
ЗАМЕТЬТЕ: Деактивация telnetd службы не будет влиять на Ваш клиент telnet.
FTP (Протокол передачи файлов) является другим проблематичным протоколом. Во-первых, это - протокол открытого текста, как telnet - это позволяет атакующему подслушивать сессии и красть пароли. Это также позволяет атакующему принимать сеанс FTP, используя инструмент поглощения открытого текста как Hunt или Ettercap. Во-вторых, это может сделать эффективным firewalling трудным из-за способа, которым FTP требует, чтобы много портов остались открытыми. В-третьих, у каждого главного демона FTP была долгая история уязвимости системы обеспечения безопасности - они представляют один из главных успешных векторов атаки для удаленных root атак.
FTP может быть заменен scp Secure Shell (безопасной оболочкой) и sftp программами.
ЗАМЕТЬТЕ: Ответ "да" к этому вопросу также предотвратит использование этой машины как анонимный сервер протокола передачи файлов.
В этой точке можно создать banner-сообщения для Вашего сайта "Только Авторизованное Использование" (Authorized Use Only). Они могут быть очень полезными в преследовании к суду системных взломщиков, можно поймать попытку ворваться в Вашу систему. Bastille может сделать сообщения по-умолчанию, которые можно тогда позже отредактировать. Это - вид подобных "антиприветственная заставка" для Вашего компьютера.
По-умолчанию баннер "Только Авторизованное Использование" будет создан для Вход в систему/telnet/протокол передачи файлов (login/telnet/ftp) и будет найден в /etc/issue. Следует изменить этот баннер, чтобы применялось более определенно к Вашей организации (например, добавляя любую специфичную для сайта информацию к предупреждениям по-умолчанию). Если это - корпоративный сайт, согласуйте со своим корпоративным адвокатом, чтобы определить самое соответствующее предупреждение для баннера. Эти баннеры, согласно бюллетеню CIAC (http://ciac.llnl.gov/ciac/bulletins/j-043.shtml) может сделать намного легче преследование по суду злоумышленников. Включением этого баннера по-умолчанию ни группа разработчиков Bastille, ни Hewlett-Packard Company не берут на себя ответственности за Вашу возможность преследовать по суду системных взломщиков. Пожалуйста, особенно если Вы выполняете корпоративный сайт, рассматриваете/заменяете это с более определенным языком.
Bastille начнет делать баннер более определенным, говоря пользователю, который ответственен за эту машину. Это утвердит явно, от кого пользователь должен получить авторизацию использовать эту машину. Пожалуйста, введите от имени компании, человека, или другой организации, которая имеет или ответственна за эту машину.
его владелец
Атакам "отказ в обслуживании" очень часто трудно воспротивиться, так как они не требуют доступа любого вида к целевой машине. Начиная с нескольких главных демонов, включая сеть, имя, и серверы FTP, могут работать как определенный пользователь, можно ограничить эффективность многих Атак "отказа в обслуживании", изменяя /etc/security/limits.conf. Если Вы ограничиваете ресурсы, доступные этим способом, можно эффективно нанести вред большинству Атак "отказа в обслуживании".
Если Вы выберете эту опцию, то Вы будете устанавливать следующие начальные пределы для использования ресурсов:
- Число позволенных базовых файлов будет обнулено. Базовые файлы могут быть полезными для диагностирования системных проблем, но они - очень большие файлы и могут быть использованы атакующим, чтобы заполнить Вашу файловую систему. Они могут также использоваться, чтобы настроить инструменты эксплуатации уязвимости. Наконец, атакующий мог бы использовать базовый файл из разрушенной программы, чтобы получить привилегированные данные, которые были выведены программой.
- Отдельные пользователи ограничиваются 150 процессами каждый. Это должно быть более чем достаточно для нормального системного использования, и недостаточно, чтобы перевести Вашу машину в нерабочее состояние. (Linux только)
Все эти значения могут быть отредактированы позже.
При некоторых дистрибутивах у пользователей, зарегистрированных в консоли, есть некоторые специальные права доступа (как возможность смонтировать дисковод для компакт-дисков). Можно отключить этот специальный доступ полностью, но более гибкая опция должна ограничить консольный доступ к небольшой группе учетных записей доверяемого пользователя.
Мы хотели бы сконфигурировать дополнительное журналирование для Вашей системы. Мы дадим Вам опцию, чтобы зарегистрировать к удаленному узлу, если тот у Вашего сайта уже будет. Мы добавим два дополнительных файла журналирования к установке по-умолчанию и также зарегистрируем некоторые сообщения о состоянии к 7-ым и 8-ым виртуальным терминалам (те, Вы будете видеть, когда Вы поразите ALT+F7 и ALT+F8). Это дополнительное журналирование не будет изменять существующие файлы журнала вообще, таким образом, это ни в коем случае не будет "опасным" перемещением.
Этот сценарий добавляет дополнительные файлы журналирования:
/var/log/kernel -- kernel messages /var/log/syslog -- messages of severity "warning" and "error"
/var/log/kernel - ядро передает/var/log/syslog - сообщения серьезности "предупреждение" и "ошибка"
Кроме того, если Вы проверите 7-ой и 8-ой TTY's, поражая ALT+F7 или ALT+F8, то Вы найдете, что мы теперь регистрируем к виртуальному TTY's также. Если Вы пробуете это, помните, что можно использовать ALT+F1, чтобы возвратиться к первому виртуальному TTY
Если у Вас уже есть удаленный узел журналирования, мы можем установить эту машину, чтобы зарегистрировать к нему
У Linux есть возможность зарегистрировать, какие команды выполняются когда и кем. Это чрезвычайно полезно в попытке восстановить то, что фактически выполнял потенциальный взломщик. Недостатки - то, что журналы становятся быстро большими (журнал вращаются, модуль включается, чтобы компенсировать это), параметры к командам не записываются, и, как все файлы журнала, считывающий журнал является съемным, если злоумышленник имеет root.
Поскольку это - скорее диск и интенсивный ЦП CPU, пожалуйста, выберите НЕ, если Вы тщательно не рассмотрели эту опцию.
Чтобы сделать операционную систему более безопасной, мы пытаемся деактивировать всех системных демонов, особенно те, которые работают на высоком/неограниченном уровне полномочия. Каждый активный системный демон служит потенциальной точкой взлома и может предоставить доступ злоумышленнику к Вашей системе. Атакующий может использовать этих системных демонов, чтобы получить доступ, если у них, как позже находят, есть ошибка или уязвимость системы обеспечения безопасности.
Мы практикуем минималистский принцип здесь: минимизируйте количество привилегированных системных демонов, и вы можете уменьшить ваши шансы стать жертвой одного из стандартных демонов, как должно быть, чем позже иметь уязвимость. Этот раздел потребует внимательного отношения, но если у Вас есть сомнения, следует быть в состоянии безопасно выбрать значение по-умолчанию в большинстве случаев.
apmd и acpid используются, чтобы контролировать питание от батареи и используются почти исключительно ноутбуком/ноутбуками
Мы хотели бы отключить NFS сетевых файловых систем (Сетевая файловая система, характерна для большинства разновидностей Unix) и SMB (Samba, который идет с большинством дистрибутивов Linux). Мы строго рекомендуем, чтобы Вы отключили оба из них. У NFS есть история главных уязвимостей системы обеспечения безопасности; Samba немного лучше, но это - все еще совместно используемая файловая система и все еще повышает потенциально серьезные проблемы безопасности. Обе службы используют открытый текст, означая, что любые переданные данные могут контролироваться кем-либо еще в Вашей сети (даже если Вы используете переключающийся маршрутизатор, поскольку переключатели были разработаны для производительности, не безопасности). Переданные данные включают дескрипторы файлов, которые могут тогда использоваться, чтобы изменить файлы.
Эти службы более безопасны, если можно установить свой брандмауэр, чтобы блокировать пакеты или для них от ввода или для отъезда Вашей сети, но, вероятно, лучше деактивировать их, пока невозможно заняться расследованиями, нуждаетесь ли Вы в них и как лучше всего защитить их.
У Вас не должно быть sendmail, работающего в режиме демона, чтобы отправить и получить электронное письмо, и если у Вас есть постоянное сетевое соединение, вероятно, невозможно выполнить sendmail в режиме демона. Режим демона означает, что sendmail постоянно слушает на сетевом соединении, ожидающем, чтобы получить почту.
Если Вы отключите режим демона, то Bastille спросит Вас, если требуется выполнить sendmail каждые несколько минут, чтобы обработать очередь исходящей почты. Большинство программ, которые отправляют почту, все еще сделает так сразу, и обработка очереди будет заботиться о случайных ошибках.
Если Вы получаете все свои электронные письма через почтовый ящик POP/IMAP, обеспеченный Вашим ISP, у Вас не может быть никакой потребности режима демона sendmail, если Вы не выполняете специальный POP/IMAP fetchmail-стиля базируемая программа извлечения. Например, можно выключить режим демона, если Вы читаете свою почту через общую функциональность чтения POP/IMAP Netscape. Единственная причина выполнить sendmail в режиме демона состоит в том, если Вы выполняете почтовый сервер.
Вы будете использовать веб-сервер Apache сразу? Снова, минимализм является критической частью хорошей безопасности сайта. Если Вы не будете запускать веб-сервер, по крайней мере прямо сейчас, следует деактивировать его. Можно перезапустить веб-сервер позже, вводя: /sbin/chkconfig httpd on
Даже при том, что Вы деактивировали веб-сервер Apache, есть все еще еще несколько вопросов, связанных с ним. Хорошо взять предосторожности в следующих шагах, даже если Вы выключили веб-сервер, так как это может быть включено снова позже.
Есть несколько других изменений, что мы рекомендуем, чтобы Вы сделали к конфигурации веб-сервера. В веб-сервере Apache есть очень немного внутренних дефектов безопасности, но есть два важных:
Как со всеми веб-серверами, это обычно обязано отправлять и получать информацию к и от любого в Интернете.
Во многих средах люди, настраивающие сервер, как вести себя, не являются хорошо осведомленными системными администраторами торговлей. Прежде, чем Вы обезцените этот факт, приимете во внимание широкое быстрое увеличение конфигураций, под которыми любой пользователь на системе может дать серверу команду выполнять произвольный код для любого, кто приходит в сайт через сценарии CGI.
Если эта машина не собирается печатать, следует остановить планировщика печати и ограничить полномочия на всех утилитах печати. На Linux Вы можете вернуть это позже, вводя:
#/bin/chmod 06555/usr/bin/lpr/usr/bin/lprm
#/sbin/chkconfig lpd on
Это рекомендуется только, если эта машина не будет использоваться для того, чтобы печатать в ближайшем будущем. Если Вы деактивировали это, Вы сможете записать команды в случае выше, если Вы решите повторно позволить печатать позже.
Если эта машина не собирается печатать, следует остановить планировщика печати и ограничить полномочия на всех утилитах печати. На Linux Вы можете вернуть это позже, вводя:
#/bin/chmod 0755/usr/bin/lpr/usr/bin/lprm/usr/bin/lpstat #/bin/chmod 04755/usr/bin/lppasswd
#/sbin/chkconfig cups on
Это рекомендуется только, если эта машина не будет использоваться для того, чтобы печатать в ближайшем будущем. Если Вы деактивировали это, Вы можете записать команды в случае выше, если Вы решите повторно позволить печатать позже.
FTP, как широко полагают, довольно опасен, но даже сознательная безопасность сайтов могли бы все еще выполнить его из-за воспринятой трудности в обучении пользователей об альтернативах. Доступные альтернативы включают:
- защитить копию, которая шифрует имена, пароли и трафик - сетевые архивы файла, намного более безопасный способ предложить файлы общественности
Нехватка широко распространенных, свободных, безопасных клиентов копии на базе Windows только усиливает проблему. FTP опасен по нескольким причинам, включая:
1) Все пароли перемещаются в четком через соединение, позволяя любые промежуточные узлы (и обычно каждый узел на источнике и локальной сети места назначения) "sniff-вдохнуть" незашифрованные пароли.
2) Демоны протокола передачи файлов обычно должны работать с полномочиями пользователя root, и у большинства общих, как находили, было множество уязвимостей системы обеспечения безопасности в течение их существования. Например, у демона протокола передачи файлов, включенного с RedHat 6.0, было два главных обновления, чтобы закрыть дыры в системе безопасности, так как RH6.0 был выпущен. Ранее в этом сеансе, мы обновили Ваш wu-ftp (wu-протокол-передачи-файлов) к новому, который рекламирует Redhat
Многие программы используют /tmp каталог способами, которые опасны на многопользовательских системах. Многие из тех программ будут использовать альтернативный каталог, если Вы будете определены с TMPDIR или переменными окружения TMP. Мы можем установить сценарии, которые будут выполнены, когда пользователи войдут в систему, которые безопасно создают подходящие временные каталоги и устанавливают TMPDIR и переменные окружения TMP. Это зависит от Вашей системы, поддерживающей /etc/profile.d сценарии
Используя пакетный сценарий фильтрации, Вы будете в состоянии сделать пакетную фильтрацию/модификацию через ядро Linux. Можно использовать это, чтобы блокировать определенные типы соединений с или от Вашей машины, превратить Вашу машину в маленький брандмауэр, и сделать Network Address Translation Сетевое Преобразование адресов (также известный как "подмена IP"), который позволяет нескольким машинам совместно использовать единственный IP-адрес.
Если Вы установите пакетный сценарий фильтрации, то он создаст firewalling инструкции для Вас. Вы будете запрошены сделать различный выбор (с предложенными значениями по-умолчанию), но Вы, возможно, должны отредактировать это для своего определенного сайта и должны будете индивидуально активировать это.
Этот сценарий поддерживает и ядро 2.2 (ipchains) и 2.4 (iptables при наличии, иначе ipchains)
Завершение части конфигурации Bastille не будет применять изменения к Вашей системе. Вас спросят, требуется ли сохранить изменения конфигурации, которые Вы сделали, которые не будет влиять на Вашу систему всегда кроме выписать файл конфигурации Bastille.
Вас тогда спросят, требуется ли применить конфигурацию к своей системе. Ни в каком смысле Вы не будете вынужденны заставить конфигурацию примениться к Вашей системе.
Если вы выберете применить конфигурацию к своей системе, тогда Bastille произведет изменения в Вашей системе и создаст Список ожидающих выполнения задач в /var/log/Bastille/TODO остающихся шагов, которые следует сделать, чтобы защитить Вашу систему, основанную на Ваших ответах на вопросы.
После того, как Вы выполнили бэкэнд Bastille, следует рассмотреть список и произвести необходимые изменения в Вашей системе. Следует также смотреть на Журнал ошибок, создаваемый в /var/log/Bastille/error-log, чтобы удостовериться, что Bastille неожиданно не перестала работать ни в одной из ее задач.
Ответ Нет, если Вы хотите возвратиться и произвести изменения в конфигурации.
Bastille предоставляет возможность конфигурировать psad (Детектор Атаки Сканирования портов), который анализирует информацию, собранную в журналах брандмауэра, чтобы определить, сканирует ли кто-то Вашу машину. Функции Psad, которые ряд гибких порогов (с заметными обеспеченными значениями по-умолчанию), которые используются, чтобы определить то, что составляет сканирование портов, обнаружение для усовершенствованных сканирований портов (syn, плавник, Рождество), которые легко усиливаются против машины через nmap, предупреждения по электронной почте, которые содержат источник и целевые IP-адреса, диапазон отсканированных портов, начинает и конец света, tcp набор флагов в пакетах сканирования, инвертируют dns и whois информацию, предупреждение DShield, пассивное снятие отпечатков пальцев ОС, автоблокирование сканирования IP-адресов (отключенный по-умолчанию), и больше. Кроме того, psad включает многие из tcp, udp, и правила icmp, включенные в систему обнаружения проникновения фырканья, чтобы обнаружить зонды для программ DDoS и задней двери.
*** psad должен быть установлен прежде, чем Bastille может сконфигурировать его, но если Вы ответите на следующие вопросы, у Вас может быть Bastille применит Вашу конфигурацию после установки psad. latest версия psad может быть загружена с http://www.cipherdyne.org/psad/
ЗАМЕТЬТЕ: Для psad, чтобы быть эффективным, требуется, чтобы брандмауэр был активный.
Завершение части конфигурации Bastille не будет применять изменения к Вашей системе. Вам будет предложено, требуется ли сохранить изменения конфигурации, которые Вы сделали, которые не будут влиять на работу системы любым способом, кроме записанным файлом конфигурации Bastille.
Вас тогда спросят, требуется ли применить конфигурацию к своей системе. Ни в каком смысле не будет Вас вынуждать конфигурацию применить к Вашей системе.
Если вы выберете применить конфигурацию к своей системе тогда, Bastille произведет изменения в Вашей системе и создаст Список ожидающих выполнения задач в/var/log/Bastille/TODO остающихся шагов, которые следует сделать, чтобы защитить Вашу систему, основанную на Ваших ответах на вопросы.
После того, как Вы выполнили бэкэнд Bastille, следует рассмотреть список и произвести необходимые изменения в Вашей системе. Следует также смотреть на Журнал ошибок, создаваемый в /var/log/Bastille/error-log, чтобы удостовериться, что Bastille неожиданно не перестала работать ни в одной из ее задач.
Ответ Нет, если Вы хотите возвратиться и произвести изменения в конфигурации!
Помогите понять, что делать и как правильно сделать. Заранее благодарен.
Да, при запуске sudo bastille -n пишет:
/usr/sbin/bastille: строка 173: [: слишком много аргументов
defined(%hash) is deprecated at /usr/lib/Bastille/HP_API.pm line 100.
(Maybe you should just omit the defined()?)
defined(%hash) is deprecated at /usr/lib/Bastille/API.pm line 1286.
(Maybe you should just omit the defined()?)
ERROR: System is not running a stable Debian GNU/Linux version. Setting to 5.0.
NOTE: Valid display found; defaulting to Tk (X) interface.
NOTE: Using Tk user interface module.
NOTE: Only displaying questions relevant to the current configuration.
NOTE: Bastille is scanning the system configuration...
NOTE: This appears to be your first interactive run -- creating a new
Будет ли работать на Linux Mint 14 MATE и стоит ли вообще ей пользоваться? Устанавливал с Синаптика.
ОС: Linux Mint 14 MATE, DE: Gnome
